Arbetet kan bedrivas för att efterleva lagkrav eller kontrakt, men görs främst för att kunna upprätthålla verksamheten och därmed uppnå organisationens mål samt att bibehålla omvärldens förtroende även under störningar. För att kunna göra det behöver man veta vilken verksamhet som måste upprätthållas även under störning.
Figur 1: Kontinuitetshanteringens två syften.
Det finns en ledningssystemsstandard för kontinuitetshantering som har samma struktur som standarden för ledningssystem för informationssäkerhet. Den här vägledningen ger en översikt över hur arbetet med kontinuitetshantering i en organisation kan införas som en del av det systematiska informationssäkerhetsarbetet.
Resultaten från samtliga analyser som gjorts i analysfasen är ingångsvärden till arbetet med kontinuitetshantering, samt vissa delar från utformafasen av informationssäkerhetsarbetet. Särskilt viktigt är:
Det systematiska informationssäkerhetsarbetet bör vara integrerat med, eller åtminstone samordnat med, organisationens arbete med kontinuitetshantering. Inte minst är detta viktigt eftersom de flesta organisationers information till stor del är digital och ofta mycket kritisk för organisationen.
Om det finns ett etablerat arbetssätt för kontinuitetshantering i organisationen bör du som CISO och övriga som arbetar med informationssäkerhet bidra med informationssäkerhetsaspekterna i arbetet. Bestäm hur ni ska arbeta för att få ut mest av de olika arbetssätten, välj att samverka eller integrera de båda områdena i ett gemensamt arbetssätt.
Om det inte finns ett etablerat arbetssätt för kontinuitetshantering i organisationen kan du som CISO verka för att ett sådant skapas. För att kunna skapa arbetssätt för kontinuitetshantering behövs information om vilka konsekvenser som kan uppstå i olika verksamheter vid störning. Ofta kan scenarier, skrivbordsövningar eller övningar där existerande arbetssätt testas öka intresset och förståelsen för kontinuitetshantering. Liksom för informationssäkerheten i stort är ledningens medvetenhet och engagemang avgörande för att lyckas med kontinuitetsarbetet.
Om det saknas ett kontinuitetsarbete blir det extra viktigt att du som CISO identifierar hur verksamhetens krav på kontinuitet gällande informationstillgångar ska hanteras inom era existerande arbetssätt för att utveckla, förvalta och drifta it-system.
Aktiviteter som informationsklassning, riskbedömning och bedömningar av incidenter har liksom kontinuitetshantering vissa delar gemensamt, exempelvis att göra konsekvensbedömningar. En organisation bör därför ha gemensamma, eller åtminstone kompatibla, kriterier och nivåer för bedömning av konsekvenser. Har organisationen kommit långt på något av dessa områden så kan övriga områden dra nytta av detta.
Har man inte en etablerad kontinuitetshantering för information i organisationen så är en fungerande klassning av informationstillgångar en bra grund för kravställning mellan verksamheter och främst it-funktioner (se Utforma Klassningsmodell och Använda Klassning av informationstillgångar).
Börja med att identifiera vilka delar av verksamheten som är mest kritisk och behöver fungera oavsett störning. De resurser som verksamheten är beroende av kan vara av alla möjliga slag, exempelvis personal, verktyg, råvaror, lokaler och basala behov som vatten och elektricitet. Ofta är det även resurser i form av informationstillgångar av olika slag, det vill säga information och (främst) it-resurser. Det kan vara exempelvis verksamhetsspecifika och administrativa system, e-post, filer, molntjänster och hårdvara som PC, servrar, telefoner, nätverk med mera. Även mindre störningar i organisationens it-infrastruktur kan innebära att allt it-stöd försvinner, och avsaknad av internet innebär i regel att en mängd tjänster är otillgängliga, som till exempel molntjänster (lagring, program, drift), e-post och informationsinhämtning.
I dagens digitaliserade samhälle är ett fungerande it-stöd och anslutning till internet helt avgörande för att de flesta organisationer ska kunna bedriva sina verksamheter. Till exempel för att kunna kalla in extrapersonal måste man ha tillgång till kontaktuppgifter som troligen finns lagrade i it-miljön och för att nyttja lokaler måste passersystemet fungera. Utvecklingen med internet of things och cyberfysiska system innebär att fler typer av tillgångar och resurser är beroende av fungerande it, och ofta internetanslutningar, än tidigare.
Störningar i resurser som räknas till informationstillgångar innebär främst brister gällande tillgänglighet. Brister i tillgänglighet kan emellertid medföra brister i riktighet, exempelvis om inte rätt version av en programvara eller uppdaterad information inte finns tillgänglig. Även konfidentialitet kan vara en viktig aspekt som kan kopplas till kontinuitetshantering. Om organisationen misstänker att obehöriga fått åtkomst till information kan en åtgärd vara att göra informationen otillgänglig för alla tills man får kontroll över situationen.
Arbetet med kontinuitetshantering bör som minst innefatta samhällsviktig verksamhet och det som krävs för att organisationen ska kunna utföra sitt uppdrag. Det konkreta arbetet med att skapa förutsättningar för kontinuitet kan ses som en cyklisk ”mini-PDCA” (Plan-Do-Check-Act) för varje relevant verksamhet och innefattar bland annat att:
Tänk på att vissa av de analyser och planer ni tar fram kan innehålla känslig information. Exempelvis kan återställandeplaner innehålla detaljerade beskrivningar av it-miljön som bara de som behöver bör komma åt. De kan också innehålla kontaktuppgifter till personer eller funktioner som inte bör spridas eller ge information om sårbarheter som inte åtgärdats. Denna information kan vara värdefull för någon som vill misskreditera eller på annat sätt skada verksamheten.
Besluta om alla verksamheter ska ingå i arbetet med kontinuitetshantering eller om bara de som i era analyser identifierats som kritiska ska ingå. Om organisationens kritiska verksamheter inte är identifierade kan du utgå från genomförda informationsklassningar.
De verksamheter som identifierar ett högt behov av tillgänglighet ska analysera vilka åtgärder de behöver införa för att minska konsekvensen av störningar och den tid som störningen påverkar verksamheten. Kom ihåg att sådana åtgärder och alternativa arbetssätt också behöver ta hänsyn till de krav som finns på konfidentialitet och riktighet.
Tänk på att de förebyggande åtgärderna kan vara administrativa, fysiska och tekniska.
Till de administrativa åtgärderna räknas till exempel att de verksamheter som ska ha kontinuitetsplaner har alternativa arbetssätt att ta till när problem uppstår. Det är viktigt att man övar dessa och utvärderar både arbetssätt och behovet av resurser för att kunna arbeta på alternativt sätt. Exempel på alternativa arbetssätt är att använda telefon, papper och penna istället för it-system.
Till de fysiska åtgärderna räknas till exempel att förvara viktig information, blanketter och kontaktlistor utskrivna på papper i ett brandsäkert skåp.
Till de tekniska åtgärderna räknas till exempel dubblering av it-system på olika sätt och funktionalitet för efterregistrering av information. Dubblering av it-system kan exempelvis innebära att ett reservsystem tar över om det ordinarie inte fungerar, detta kan ske automatiskt eller manuellt. Funktionalitet för efterregistrering kan erbjuda möjlighet att manuellt registrera sådant som annars registreras automatiskt, till exempel registrera i annans namn eller fylla i datum tidigare än dagens datum.
Störningar beror ofta på en incident av något slag. Lyckas inte incidentorganisationen återställa normal verksamhet på den tid som är acceptabel för verksamheten kan man behöva besluta om att gå in i krishantering (se Utforma Incidenthantering). Arbetet med att återställa sker utifrån framtagna planer, till exempel återställandeplaner eller incidentplaner. Dessa kan också ingå i kontinuitetsplanen.
Under tiden arbetar verksamheten utifrån framtagna alternativa arbetssätt, verksamhetens kontinuitetsplan. Det kan finnas olika alternativa arbetssätt beroende på hur lång störningen är. Hur lång tid en störning är acceptabel kan dock variera mellan olika verksamheter i organisationen, i vissa verksamheter kan det krävas ett chefsbeslut för att gå över till alternativa arbetssätt.
När normal drift är återställd behöver verksamheten få besked om att de kan gå tillbaka till normalt arbetssätt igen.
Ibland kan det för verksamheten normala sättet att sprida information och kommunicera också drabbas av störningar. Intranät, chatt och videokonferens eller telefoni kan slås ut. Planera för att ha alternativa kommunikationssätt och tänk på att alternativen även behöver upprätthålla verksamhetens krav på konfidentialitet och riktighet. I en stressad situation kan det vara extra viktigt att sändare och mottagare av information är rätt och kan verifieras. Informera och öva de olika kommunikationsalternativen så att medarbetarna kan använda dem och känner sig bekväma med det.
Eftersom alternativa arbetssätt ofta innebär att information skapas och hanteras på andra sätt än normalt kan man behöva föra in informationen i efterhand, så kallad efterregistrering. Se till att efterregistreringen uppfyller krav på konfidentialitet, riktighet och tillgänglighet. Det vill säga att efterregisteringen görs av rätt personer, med tillräcklig kvalitet och tillräckligt snabbt.
Utvärdera att valda åtgärder har fungerat. Se till exempel över om:
Se sedan över det som inte fungerade och förbättra.
Resurser i form av interna och externa it-relaterade tjänster ska ha återställningstider som möter verksamheternas behov. Det innebär att de krav verksamheten har måste kunna mötas av den eller de it-verksamheter som levererar dessa tjänster, vilka kan vara organisationsinterna eller -externa. Är it-verksamheten intern ska kraven kommuniceras på det sätt som är etablerat i organisationen, och om den är extern sker det ofta med tjänsteavtal, där SLA (Service Level Agreement) styr nivåer av tillgänglighet för it-tjänster. För kritiska tjänster kan det vara nödvändigt att etablera en gemensam kontinuitetshantering inklusive test- och övningsverksamhet med den externa leverantören.
Även om organisationen har en intern it-verksamhet så är denna mer eller mindre beroende av externa aktörer, som leverantörer av tjänster och produkter och konsultstöd. Det är därför viktigt att it-verksamheten ställer rätt krav på dessa tjänster och produkter som, direkt eller indirekt, har bäring på it-verksamhetens kontinuitet.
Att stödja organisationens kontinuitet handlar i en it-verksamhet främst om två saker:
Det är också viktigt att se till att it-verksamhetens olika delar vet vad de ska göra när de inte kan använda ordinarie arbetssätt.
När det gäller att minska återställningstider handlar det förebyggande arbetet till stora delar om att stärka robusthet och redundans, genom exempelvis säkerhetskopiering och dubblering av systemdrift. Det är dock inte endast teknisk redundans och backup som är viktigt, utan även att se till att det finns tillräckligt med personal och kompetens, manuella reservrutiner vid händelse av elkraftbortfall m.m.
Det är också viktigt att se till att ha en tillräcklig generell säkerhet i it-miljön mot skadlig kod, intrång, haverier etcetera vilka alla kan äventyra driftsäkerheten. Något så enkelt som att ha uppmärkta kablar gör att det går fortare att hitta vilken kabel som går var. Särskilt viktiga är den gemensamma it-infrastrukturen och den fysiska säkerheten i och kring datahallar och kablage- och kopplingsutrymmen som alla it-tjänster är beroende av. Det är inte bara allvarliga it-avbrott som kan äventyra leveransen av it-tjänster, utan även många upprepade mindre störningar.
Verktyg/exempel på Kontinuitetshanteringsmall.
Vägledningar:
Kontinuitetshantering för informationstillgångarDatum:
25 juni 2024